19:52
11/11/2011

…to nie jest jedno z nich:

Hasło Allegro Fail

Hasło do Allegro

via d4rky

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

12 komentarzy

Dodaj komentarz
  1. Jestem tego samego zdania, co d4rky

  2. ebuyer.co.uk jeden z największych i *najlepszych* sklepów internetowych w UK i ich polityka haseł: “You MUST use between 6-12 characters, containing at least one letter, at least one number and NO punctuation, symbols or spaces”. Pisałem do nich w tej sprawie, o ich słabych hasłach – olali mnie cienkim sikiem.

    • Jeśli nie solą, to w razie wycieku mamy już gotową regułkę do brute-forcera.

    • Oczywiscie ze nie sola , ba , nawet trzymaja w plaintext. Niebezpiecznik juz przeciez o tym pisal tu : https://niebezpiecznik.pl/post/powazny-blad-w-allegro-umozliwial-poznanie-hasel-uzytkownikow/

    • Na students.autodesk.com jest od 8 do 12 znaków, przynajmniej 1 litera i przynajmniej jedna cyfra.
      Przełknąłem to za pomocą hasła typu: C0-<XL;q5[iT, które grzecznie przyjął, ale zalogować to już nie był łaskaw.

  3. Dowód na to, że allegro trzyma hasła w tekście jawnym.

    • nie. to jest pytanie o nowe hasło, a nie formularz logowania. najprawdopodobniej jest if (strlen($_POST[‘nowehaslo’]) > 6) { wywal_blad(‘za dlugie’) }

      disclaimer: nie pamietam i nie znosze php

  4. kiedys sie spotkałem z takim podejściem, ze hasła (lub bóg wie co, nie pamiętam) były trzymane w postaci hashu, który był robiony przy użyciu crc32, wobec czego dalsze znaki nic nie zmieniały. do vncserver na linuxie też domyślnie nie da sie zastosować hasła dłuższego niż 14 znaków, tzn da się ale dalsze znaki są ignorowane.

    • …a gawkermedia miał DES.

  5. Jak swojego czasu zmieniałem hasła na wszystkich serwisach internetowych, to wiele z nich nie pozwalało na zapisanie odpowiednio długiego, wygenerowanego hasła. ;) Zdarzył się nawet jeden przypadek naprawdę dużego serwisu, który przyjął hasło przy edycji, ale przy próbie zalogowania informował, że jest ono za długie. :)

  6. Mwah, to na jednej stronie się spotkałam z hasłami 6-12. Zwróciłam uwagę adminowi, tak samo jak na brak potwierdzenia hasła/maila przy rejestracji (wpisuje się je tylko jeden raz), a potem link aktywacyjny w dane logowania w plainie leciały na maila.
    Jedna pomyłka i już ktoś może dostać czyjeś piękne hasło na swojego maila~.

    A hasło na dziennik elektroniczny pamiętam jak ustawiałam… Ambitnie chcieli przynajmniej jedną wielką, jedną małą literę, jedną cyfrę i jeden znak specjalny. Chcąc wymyślić ambitne hasło, którego nie zapomnę walnęłam jakieś rąbnięte zdanie typu “Chciałam napisać tu coś po japońsku, ale nie…” itd. + jakaś cyfra. Razem wyszło koło 80 znaków. XD Przyjęło~.
    Tylko nie chciało mnie zalogować.
    Ale jakie to szczęście, że za każdym wejściem na stronę dziennika możesz zresetować hasło – podajesz tylko adres maila, dostajesz na niego link, dzięki któremu ustawiasz nowe hasło. Nic więcej nie trzeba. Tak teoretycznie nie trzeba pamiętać haseł – wystarczy za każdym razem pięknie zresetować. Jak ja ‘uwielbiam’ rozwiązania niektórych firm…

  7. Niestety, fail pełną gębą. Szkoda, bo przecież można użyć crypta ze wsteczną kompatybilnością z polem określającym algorytm hashowania.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: